高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
ç°¡å˜ãªå¯¾å‡¦æ–¹æ³•ã¯ã€YahooãŒã‚„ã£ã¦ã„るよã†ã«ã€ãƒã‚°ã‚¤ãƒ³æˆåŠŸæ™‚ã«ã€Œbackurlã€ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ãªã©ã‚’ãƒã‚§ãƒƒã‚¯ã‚’ã—ã¦ã€ã€Œè‡ªã‚µã‚¤ãƒˆå¤–ã€ãªã‚‰ã°ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã›ãšã«ã‚¨ãƒ©ãƒ¼ã«ã™ã‚‹æ–¹æ³•ãªã‚“ã§ã—ょã†ã€‚
ã§ã™ãŒã€ã€Œè‡ªã‚µã‚¤ãƒˆå†…ã€ã«ä»»æ„サイトã«é£›ã¹ã‚‹ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ã‚’抱ãˆã¦ã„ã‚‹ã¨ã€
ãƒã‚°ã‚¤ãƒ³æˆåŠŸ
→ 自サイト内ã®ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ã¸
→ 外部ã®ãƒ•ã‚£ãƒƒã‚·ãƒ³ã‚°ã‚µã‚¤ãƒˆã¸
ã®ã‚ˆã†ã«ã€å¤šæ®µéšŽã®ã‚¸ãƒ£ãƒ³ãƒ—ã§ãƒ•ã‚£ãƒƒã‚·ãƒ³ã‚°ã‚µã‚¤ãƒˆã¸é£›ã°ã•ã‚Œã‚‹æã‚ŒãŒã‚ã‚Šã¾ã™ã。
ç¾çŠ¶ã€å¤§è¦æ¨¡ãªã‚µã‚¤ãƒˆã®å¤šããŒã€Œbackurlã€çš„ãªæ©Ÿèƒ½ã‚’æŒã£ã¦ãŠã‚Šã€ã¾ãŸè‡ªã‚µã‚¤ãƒˆå†…ã«ä»»æ„サイトã«é£›ã¹ã‚‹ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ã‚’ã„ãã¤ã‚‚抱ãˆã¦ã„ã‚‹ã®ã§ã¯ãªã„ã‹ã¨æ€ã„ã¾ã™ã€‚
ã“ã®ç¨®ã®è„†å¼±æ€§å±Šå‡ºãŒå—ç†ã•ã‚Œã€ä¿®æ£ã•ã‚ŒãŸï¼ˆå°‘ãªãã¨ã‚‚「ã¯ã¦ãªã€ãªã©ã„ãã¤ã‹ã®ã‚µã‚¤ãƒˆã§ã¯ï¼‰ã“ã¨ã®å½±éŸ¿ã¯ã€æ€ã£ãŸã‚ˆã‚Šå¤§ãã„ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。
